Спас Иванов: За киберзащита трябва да се разчита на публично-частно партньорство

„Порталът изглежда добре, използвани са модерни платформи, написан е на модерен език, но това не е гаранция за нивото на защита“, предупреди експертът.

Той поясни, че не може да коментира сигурността на страницата на НАП, защото не я е тествал.

"Ако тръгнем да тестваме защитата й, много вероятно е да свършим в ареста. Въпреки че бихме могли да намерим евентуални пропуски и да ги докладваме по надлежния ред и това да допринесе за подобряването на сигурността на НАП. В САЩ има подобна практика, нар. bug bounty – при която ако се открие и докладва проблем, се получава заплащане", даде пример Иванов.

Ограниченията по думите му идват от законовата рамка у нас.

"Наредбата за минималните изисквания за информационна сигурност за държавния сектор от 2019 г. е добро начало, но прилагането й по места започна да се изражда в политикономическа ситуация, в която се намеси държавният оператор “Информационно обслужване“, който е на входа и изхода на всяка мярка. Дадоха се абсурдно кратки срокове на общини, болници и др. организации, които преди имаха много слаба подготовка, да наваксат всичко за четири месеца. Това нормално се случва за 3-4 или 5 години", анализира ситуацията Спас Иванов.

Според директора на Baseline Cyber Security фокус на наредбата трябва да е публично-частното партньорство и компаниите, които имат опит и ноу-хау, да съветват държавните институции. „А не всяка организация да се спасява, както може“, посочи той.

Иванов отбеляза, че киберпрестъпността и киберпространството имат сходни характеристики с пандемията от Covid-19 и трябва да бъдат непрекъснато тествани и наблюдавани.

"Иначе бизнесът няма да оцелее в тази враждебна среда. За да стане това, компаниите трябва да са под постоянен мониторинг на сигурността, т.е. периодично тази сигурност да се проверява. Сигурността не е на хартия. Тя не е политики и процедури. Те помагат безспорно, за да знаят хората какво да направят, да имат план и разпределени отговорности, но като цяло – това е само началото. От там започва изграждането на пирамидата на сигурността, а нейният връх е постоянният контрол и реакцията в реално време", съветва директорът на Baseline Cyber Security.

Той заяви, че услугата "мониторинг на сигурността" е слабо популярна в България, макар че в Западна Европа е нещо като санитарен минимум, за бизнеси като финтех, застрахователи, електронни търговци. Спас Иванов поясни, че в основата на всяка добра киберзащита днес са системи с изкуствен интелект и машинно обучение.

„Колкото повече споделено познание има в даден сектор, което е специфично за държавата, сектора или региона и неговите заплахи, толкова по-ефективни са мерките, убеден е експертът. - Когато частният бизнес стигне до извода, че няма възможности да поддържа собствени екипи по киберсигурност и да се бори с нарастващите заплахи, аутсорсва тази дейност към други страни, които имат много клиенти и могат да реагират превантивно.“

По думите му подобно споделеното познание е много важно и се позова на ролята на изкуствения интелект.

Спас Иванов предупреди, че киберзаплахите ще се увеличават. По прогнози 2025 година киберпрестъпността ще струва на света 10 трилиона долара годишно и изчисли, че това е две трети от БВП на Китай.

Какво е необходимо освен инвестиции за защита в дигиталната среда? Къде са насочени атаките на киберпрестъпниците? Кои бизнеси са най-уязвими от кибератаки? За какво трябва да внимават клиентите при плащането на стоки онлайн? 

Вижте целия разговор във видео материала на Bloomberg TV Bulgaria.

Всички гости на предаването "Бизнес старт" гледайте тук.